-a <capture autostop condition>
Określ kryterium określające, kiedy program Wireshark ma przestać zapisywać do pliku przechwytywania. Kryterium ma postać test:value, gdzie test jest jedną z następujących wartości:
Zatrzymaj zapis do pliku przechwytywania po upływie wartości sekund.
filesize:value
Zatrzymaj zapis do pliku przechwytywania po osiągnięciu rozmiaru wartościekilobajtów (gdzie kilobajt to 1000 bajtów, a nie 1024 bajty). Jeśli ta opcja jest używana razem z opcją -b, Wireshark przestanie zapisywać do bieżącego pliku przechwytywania i przełączy się na następny, jeśli osiągnie rozmiar filesize.
files:value
Zatrzymaj zapis do plików przechwytywania po zapisaniu wartości liczby plików.
-b <capture ring buffer option>
Jeśli podano maksymalny rozmiar pliku przechwytywania, ta opcja powoduje, że Wireshark działa w trybie „bufora pierścieniowego” z podaną liczbą plików. W trybie „ringbuffer” Wireshark będzie zapisywał do kilku plików przechwytywania. Ich nazwa jest oparta na numerze pliku oraz na dacie i czasie utworzenia.
Gdy pierwszy plik przechwytujący się zapełni, Wireshark przełączy się na zapisywanie do następnego pliku, aż do zapełnienia ostatniego, w którym to momencie odrzuci dane z pierwszego pliku (chyba że podano 0, w takim przypadku liczba plików jest nieograniczona) i zacznie zapisywać do tego pliku i tak dalej.
Jeśli podano opcjonalny czas trwania, Wireshark przełączy się na następny plik po upływie określonej liczby sekund, nawet jeśli bieżący plik nie jest całkowicie zapełniony.
Przełączenie do następnego pliku po upływie wartości sekund, nawet jeśli bieżący plik nie jest całkowicie zapełniony.
filesize:value
Przełączenie do następnego pliku po osiągnięciu przez niego rozmiaru wartości kilobajtów (gdzie kilobajt to 1000 bajtów, a nie 1024 bajty).
files:value
Zacznij ponownie od pierwszego pliku po zapisaniu liczby plików value (utwórz bufor pierścieniowy).
-B <capture buffer size (Win32 only)>
Tylko Win32: ustaw rozmiar bufora przechwytywania (w MB, domyślnie 1MB). Jest to używane przez sterownik przechwytywania do buforowania danych pakietów do czasu, gdy dane te mogą być zapisane na dysku. Jeśli napotkasz spadki pakietów podczas przechwytywania, spróbuj zwiększyć ten rozmiar.
-c <capture packet count>
Ta opcja określa maksymalną liczbę pakietów do przechwycenia podczas przechwytywania danych na żywo. Można jej używać w połączeniu z opcją -k.
-D
Wypisuje listę interfejsów, na których Wireshark może przechwytywać i kończyć pracę. Dla każdego interfejsu sieciowego wypisywany jest numer i nazwa interfejsu, z ewentualnym tekstowym opisem interfejsu. Nazwę lub numer interfejsu można podać do flagi -i, aby określić interfejs, który ma być przechwytywany.
To może być użyteczne w systemach, które nie mają polecenia do ich wypisania (np. systemy Windows lub systemy UNIX bez ifconfig -a); liczba może być użyteczna w systemach Windows 2000 i nowszych, gdzie nazwa interfejsu jest nieco złożonym łańcuchem.
Uważaj, że „może przechwycić” oznacza, że Wireshark był w stanie otworzyć to urządzenie, aby wykonać przechwytywanie na żywo; jeśli w twoim systemie program wykonujący przechwytywanie sieci musi być uruchomiony z konta o specjalnych uprawnieniach (na przykład jako root), to jeśli Wireshark jest uruchomiony z flagą -D i nie jest uruchomiony z takiego konta, nie wyświetli żadnych interfejsów.
-f <filtr przechwytywania>
Ta opcja ustawia początkowe wyrażenie filtru przechwytywania, które będzie używane podczas przechwytywania pakietów.
-g <numer_pakietu>
Po wczytaniu pliku przechwytywania przy użyciu flagi -r, przejdź do podanego numeru pakietu.
-h
Opcja -h nakazuje programowi Wireshark wydrukowanie jego wersji i instrukcji obsługi (jak pokazano powyżej), a następnie zakończenie pracy.
-i <capture interface>
Ustawia nazwę interfejsu sieciowego lub potoku, który ma być używany do przechwytywania pakietów na żywo.
Nazwy interfejsów sieciowych powinny odpowiadać jednej z nazw podanych w funkcjiwireshark -D (opisanej powyżej); można również użyć numeru, podanego przez funkcjęwireshark -D. Jeśli używasz UNIX-a, netstat-i lub ifconfig -a mogą również działać jako lista nazw interfejsów, chociaż nie wszystkie wersje UNIX-a obsługują flagę -a w ifconfig.
Jeśli nie podano interfejsu, Wireshark przeszukuje listę interfejsów, wybierając pierwszy interfejs nieloopback, jeśli istnieją interfejsy nieloopback, i wybierając pierwszy interfejs loopback, jeśli nie ma interfejsów nieloopback; jeśli nie ma interfejsów, Wireshark zgłasza błąd i nie rozpoczyna przechwytywania.
Nazwy potoków powinny być albo nazwą FIFO (nazwanego potoku), albo „-”, aby odczytywać dane ze standardowego wejścia. Dane odczytywane z potoków muszą być w standardowym formacie libpcap.
-k
Opcja -k określa, że Wireshark powinien natychmiast rozpocząć przechwytywanie pakietów. Opcja ta wymaga użycia parametru -i, aby określić interfejs, z którego będą przechwytywane pakiety.
-l
Opcja ta włącza automatyczne przewijanie, jeśli panel listy pakietów jest aktualizowany automatycznie w miarę napływu pakietów podczas przechwytywania (jak określono przez flagę -S).
-L
Wylistuj typy łącza danych obsługiwane przez interfejs i wyjdź.
-m <font>
Ta opcja ustawia nazwę czcionki używanej dla większości tekstu wyświetlanego przez Wireshark. XXX – dodaj przykład!
-n
Wyłącz rozwiązywanie nazw obiektów sieciowych (takich jak nazwa hosta, nazwy portów TCP i UDP).
-N <flagi rozwiązywania nazw>
Włącza rozwiązywanie nazw dla określonych typów adresów i numerów portów; argumentem jest łańcuch, który może zawierać litery m, aby włączyć rozwiązywanie adresów MAC, n, aby włączyć rozwiązywanie adresów sieciowych i t, aby włączyć rozwiązywanie numerów portów warstwy transportowej. Zastępuje to -n, jeśli obecne są zarówno -N jak i -n. Litera C umożliwia współbieżne (asynchroniczne) przeszukiwanie DNS.
-o <preference/recent settings>
Ustawia preferencję lub wartość recent, zastępując wartość domyślną i każdą wartość odczytaną z pliku preferencji/recent. Argumentem tej flagi jest łańcuch postaci nazwa_preferencji:wartość, gdzie nazwa_preferencji jest nazwą preferencji (która jest tą samą nazwą, która pojawiłaby się w pliku preferencji/ostatnich ustawień), a wartość jest wartością, na którą powinna zostać ustawiona. Wiele instancji -o <ustawień preferencji> może być podanych w pojedynczym wierszu poleceń.
Przykładem ustawienia pojedynczej preferencji byłoby:
wireshark -o mgcp.display_dissect_tree:TRUE
Przykładem ustawienia wielu preferencji byłoby:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627
Listę wszystkich dostępnych ciągów preferencji można uzyskać z plikupreferences, patrz Dodatek A, Pliki i foldery.
Tablice dostępu użytkownika można nadpisać za pomocą „uat”, a następnie nazwy pliku UAT i prawidłowego rekordu pliku:
wireshark -o „uat:user_dlts:\”User 0 (DLT=147)\”,\”http\”,\”,\”0\”,\””
Powyższy przykład wyodrębni pakiety z typem łącza danych libpcap 147 jako HTTP, tak jak gdybyś skonfigurował to w preferencjach protokołu DLT_USER.
-p
Nie przełączaj interfejsu w tryb promiscuous. Zauważ, że interfejs może być w trybie promiscuous z jakiegoś innego powodu; dlatego nie można użyć opcji -p do zapewnienia, że jedynym przechwytywanym ruchem jest ruch wysyłany do lub z maszyny, na której działa Wireshark, ruch rozgłoszeniowy i ruch multicastowy na adresy odbierane przez tę maszynę.
-P <ustawienie ścieżki>
Specjalne ustawienia ścieżki zwykle wykrywane automatycznie. Jest to używane w specjalnych przypadkach, np. przy uruchamianiu Wiresharka ze znanej lokalizacji na pamięci USB.
Kryterium ma postać klucz:ścieżka, gdzie klucz jest jednym z poniższych:
ścieżka osobistych plików konfiguracyjnych, takich jak pliki preferencji.
ścieżka osobistych plików danych, jest to folder początkowo otwarty.Po inicjalizacji, ostatni plik zachowa folder ostatnio używany.
-Q
Ta opcja zmusza Wiresharka do wyjścia po zakończeniu przechwytywania. Może być używana z opcją -c. Musi być używana w połączeniu z opcjami -i i -w.
-r <infile>
Ta opcja podaje nazwę pliku przechwytywania, który Wireshark ma odczytać i wyświetlić. Ten plik może być w jednym z formatów obsługiwanych przez Wireshark.
-R <read (display) filter>
Ta opcja określa filtr wyświetlania, który ma być zastosowany podczas odczytywania pakietów z pliku przechwytywania. Składnia tego filtru jest taka sama jak filtrów wyświetlania omówionych w Sekcji 6.3, „Filtrowanie pakietów podczas przeglądania”. Pakiety nie pasujące do filtru są odrzucane.
-s <capture snaplen>
Opcja ta określa długość migawki, która ma być używana podczas przechwytywania pakietów. Wireshark przechwyci tylko <snaplen> bajtów danych dla każdego pakietu.
-S
Ta opcja określa, że Wireshark będzie wyświetlał pakiety w trakcie ich przechwytywania. Odbywa się to poprzez przechwytywanie w jednym procesie i wyświetlanie ich w osobnym procesie. Jest to to samo, co opcja „Aktualizuj listę pakietów w czasie rzeczywistym” w oknie dialogowym Capture Options.
-t <format znacznika czasu>
Ta opcja ustawia format znaczników czasu pakietów, które są wyświetlane w oknie listy pakietów. Format może być jednym z następujących:
-
r relative, który określa, że znaczniki czasu są wyświetlane względem pierwszego przechwyconego pakietu.
-
a absolute, co określa, że rzeczywiste znaczniki czasu są wyświetlane dla wszystkich pakietów.
-
ad absolute with date, które określa, że rzeczywiste daty i czasy mają być wyświetlane dla wszystkich pakietów.
-
d delta, który określa, że znaczniki czasu są względne w stosunku do poprzedniego pakietu.
-
e epoch, która określa, że znaczniki czasu są sekundami od epoki (Jan 1, 1970 00:00:00)
-v
Opcja -v nakazuje programowi Wireshark wypisanie informacji o wersji i zakończenie pracy.
-w <savefile>
Ta opcja ustawia nazwę pliku savefile, który ma być używany podczas zapisywania pliku przechwytywania.
-y <capture link type>
Jeżeli przechwytywanie jest uruchamiane z wiersza poleceń z opcją -k, ustaw typ łącza danych do użycia podczas przechwytywania pakietów. Wartości podane przez -L są wartościami, które mogą być użyte.
-X <eXtension option>
Określa opcję, która ma być przekazana do modułu TShark. Opcja eXtension ma postać extension_key:value, gdzie extension_key może być:
lua_script:lua_script_filename; Mówi Wiresharkowi, aby załadował podany skrypt oprócz domyślnych skryptów Lua.
-z <statistics-string>
Umożliwia Wiresharkowi zbieranie różnych typów statystyk i wyświetlanie wyników w oknie aktualizowanym w czasie półrzeczywistym.XXX – dodaj więcej szczegółów tutaj!
